Vorschriften für IT-Security gefordert
Sicherheit darf nicht dem freien Markt überlassen bleiben

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkePolitikRechtSicherheitSicherheitsmanagement

Die Rufe nach Vorschriften werden lauter, wenn es um die Bestrafung von Anbietern geht, die unsichere oder stark fehlerbehaftete Software liefern.

Brückenbau niemals an Software-Entwickler!

Vorschriften für IT-Security gefordert

Würden Sie eine Brücke überqueren, die von einem Software-Entwickler gebaut wurde? Nein, noch nicht mal im Traum. Auch Mary Ann Davidson, Sicherheitsbeauftragte bei Oracle, würde sich davor hüten. In ihrer Rede auf der vor kurzem abgehaltenen WWW2006-Konferenz in Edinburgh gab Davidson Berichten zufolge zu, was viele von uns seit Jahren wissen: Dass die Softwareindustrie systematisch versagt, wenn es um die Lieferung von sicheren Systemen an die Kunden geht.

Davidson meinte auch, dass immer mehr Sicherheitschefs glauben, die Entwickler hätten eine so lässige Einstellung zur Sicherheit, dass tatsächlich Vorschriften nötig wären, damit sie endlich die Kurve kriegen.

Wenn man es im Sinne von einer lang erwarteten Aussage im Sinne von “Asche auf mein Haupt” sieht, so könnte dies das Pendant der Software-Industrie zu einer Äußerung von George Bush sein, der eine Pressekonferenz mit der Behauptung unterbrach: “Ehm?, dem hier bin ich wohl nicht ganz gewachsen”.


Chefsache: Software muss laufen

Vorschriften für IT-Security gefordert

Aber mit der Tatsache im Nacken, dass Sicherheits-Schwachstellen geschätzte 60 Milliarden Dollar kosten, hat Davidson absolut Recht, wenn sie meint, dass wir einen Umkehrpunkt erreicht haben, an dem unsere Einstellung zur Zuverlässigkeit von Software verändert werden muss.

Die IT ist zur Chefsache geworden, und wenn dies auch Vorteile für die Anbieter in sich birgt, bedeutet es gleichfalls, dass die Kunden wesentlich anspruchsvoller werden – ein IT-Chef wird ein gewisses Verständnis dafür aufbringen, wie schwierig es ist, Programmfehler wieder auszubügeln, aber ein Geschäftsführer, der Millionen investiert hat, will einfach, dass die Software funktioniert. Während die Kunden sich aber weiterentwickelt haben, priorisieren viele Anbieter weiterhin neue Features und schnelle Auslieferungen gegenüber Zuverlässigkeit und Sicherheit – egal wie massiv sie auch das Gegenteil behaupten.


Der Markt kann Sicherheit nicht regeln

Vorschriften für IT-Security gefordert

Was also ist zu tun? Unweigerlich sieht die Reaktion vieler Anbieter so aus, dass der Markt es schon regeln wird. “Wenn die Kunden sichere Software wollen”, sagen sie, “müssen sie die von Anbietern kaufen, die am meisten in Tests ihrer Produkte investieren und Konkurrenten damit zwingen, ihnen nachzueifern.” Im Prinzip stimmt das, aber praktisch ist diese Argumentation hinterhältig. Die IT ist seit fast zwei Jahrzehnten der zentrale Nerv für die meisten Unternehmen und dennoch betrachten viele Entwickler die Erprobung noch immer als eine lästige Pflicht anstelle eines Kernpunkts des Entwicklungs-prozesses.

IT-Systeme sind heutzutage für unser wirtschaftliches und soziales Wohlergehen so wichtig wie das Verkehrsnetz. Aber Bauingenieure unterliegen zahllosen Vorschriften, damit Straßen und Brücken sicher sind ? und sie haben mit massiver rechtlicher Haftung zu rechnen, wenn sich herausstellt, dass sie nachlässig waren. Für diejenigen aber, die unsere elektronischen Netzwerke entwickeln, gibt es kein Nachspiel, wenn sie fehlerhafte Software liefern.


Geld für Software-Tester!

Vorschriften für IT-Security gefordert

Die Entwickler wehren sich häufig gegen dieses Gleichnis mit der Behauptung, dass eine Brücke nicht mit der Komplexität moderner Kodierung vergleichbar sei. Aber wenn auch eine zu hundert Prozent fehlerfreie Software fast ein Ding der Unmöglichkeit ist, so kann man dennoch Anwendungen ausliefern, die wesentlich sicherer als der Standard sind – wenn man genug Zeit und Geld in die Testphase steckt.

Umfangreiches Testen würde zu selteneren Upgrades führen und die Software-Preise steigen lassen. Aber so lange die Industrie nicht damit beginnt, die gesamte Unternehmens-Software nach den strengen Maßstäben zu entwickeln, die sie an die kritischsten Systeme anlegt, werden die Firmen unweigerlich den Druck auf die Regulierungsbehörden erhöhen, damit neue Software schließlich genauso stabil wird wie einige große Brücken, die schon seit Jahrzehnten stehen.